逐步指南:使用 Microsoft Exchange Server 2003 SP2 部署 Windows Mobile 裝置

其他網路架構選擇

發佈日期: 2006 年 12 月 22 日

您在網路設定和網路設計方面所做的選擇可能會影響升級系統以配合 Direct Push 技術和 Messaging & Security Feature Pack 管理功能所需採取的步驟。

部署選項

下表介紹了一些最常見的部署設定,各自擁有獨特的考量因素。

請遵循連結以取得各項設定的部署說明文件。

安裝類型

描述

考量因素

ISA Server 2006 在周邊網路內的工作群組中做為進階防火牆

所有 Exchange 伺服器都位於公司網路內。

針對 Exchange ActiveSync 設定 FBA 或基本驗證,讓所有用戶端在連線前交涉 SSL 連結。

ISA Server 在對網際網路流量開放的周邊網路中扮演進階防火牆的角色。

ISA Server 2006 直接與 LDAP 和 RADIUS 伺服器通訊

LDAP 驗證

  • 支援 LDAP、LDAPS、LDAP-GC 和 LDAPS-GC。

  • 每個網域控制站都是 LDAP 伺服器。LDAP 伺服器包含儲存 Active Directory 使用者認證的存放區。

  • 因為每個網域控制站都只能驗證其網域內的使用者,所以 ISA Server 預設會查詢樹系的通用類別目錄以驗證使用者認證

Radius 驗證

  • RADIUS 提供認證驗證。

  • ISA Server 是 RADIUS 用戶端,有賴於 RADIUS 驗證回應

  • 密碼不可能變更

用戶端驗證可透過 Windows、Kerberos、LDAP、LDAPS、RADIUS 或 RSA SecurID 進行。

需要在防火牆上開啟連接埠 443 以便用於輸入和輸出網際網路流量。

需要數位憑證,以便連線至設定存放區伺服器。

萬一防火牆失敗,將無法存取網域和 Active Directory。

網域系統管理員不能存取防火牆陣列。

工作群組用戶端無法使用 Windows 驗證。

需要管理鏡像帳戶以監視陣列。

如需程序的概觀,請參閱 <透過 Windows Mobile 5.0 裝置部署行動訊息解決方案

在周邊網路中已加入 ISA Server 2006 網域

Exchange FE 在企業樹系中

身為網域成員,ISA Server 2006 與 Active Directory 相整合。

在內部防火牆上開啟其他連接埠以方便網域成員與 Active Directory 通訊

簡化網域內 ISA Server 陣列的部署和管理。

萬一防火牆失敗,可能發生跨網域存取的漏洞

請參閱 <透過 ISA Server 2006 發行 Exchange Server 2003

不同網域內的防火牆具有單向信任

Exchange FE 在企業樹系中

ISA Server 2006 做為其自身 DMZ 樹系的網域控制站

建有單向信任,因此 DMZ 樹系信任企業樹系帳戶。

ISA Server 2006 在 ISA 端驗證要求

預先驗證所有 Exchange 流量,以縮小攻擊面及降低風險。

可在企業解決方案上適當調整。

如需詳細指示,請參閱<使用 ISA Server 2004 與 Exchange Server 2003>(英文),網址是 http://www.microsoft.com/technet/isa/2004/plan/exchage2003.mspx

協力廠商防火牆

設定成進階防火牆或圍繞周邊網路。

以 SSL 加密行動裝置與 Exchange 伺服器間的流量。

開啟行動裝置與 Exchange 伺服器間每個防火牆上的輸入連接埠 443。

將行動裝置與 Exchange FE 伺服器之間的路徑中所有防火牆和網路應用裝置上的閒置工作階段逾時時間設為 30 分鐘,以加速 Direct Push 技術。

參閱防火牆製造商說明文件以取得開啟輸入連接埠 443 並設定閒置工作階段逾時時間的相關指示。

單一 Exchange 2003 Server

公司網路內位於防火牆背後的單一 Exchange 伺服器。

Exchange Server ActiveSync 使用 Kerberos 驗證經由連接埠 80 存取 Exchange ActiveSync 虛擬目錄。

中小型企業的簡單部署。

ExAdmin 虛擬目錄需要下列設定步驟:

  • 必須關閉 SSL

  • 使用 Windows 整合式驗證

若使用 RSA SecurID,更新 RSA Authentication Agent 以確保與 Direct Push 技術相容。

如需詳細資料,請參閱 <在單一伺服器上部署>。

另請參閱:微軟知識庫文件 <當 Exchange Server 2003 要求使用 SSL 或表單型驗證時,發生 Exchange ActiveSync 和 Outlook Mobile Access 錯誤> (英文),網址是 http://go.microsoft.com/fwlink/?LinkId=62660

Windows Small Business Server 2003

Exchange 流量路由傳送到執行 Windows SBS 的伺服器,並開啟輸入連接埠 443。

Exchange FE 位於下列防火牆背後:

  • ISA Server,內含在 Windows SBS Premium Edition 中

  • Windows SBS 內建的路由及遠端存取防火牆

  • UPnP™ 硬體防火牆

安裝在裝置上的憑證提供 SSL 加密和存取。

Exchange ActiveSync 和 ISA Server 與 Windows Small Business Server 2003 整合,提供簡化的部署:

  • 必須在用戶端電腦上安裝 Desktop ActiveSync

請參閱 <以 Windows Small Business Server 2003 部署 Windows Mobile 5.0 >(英文)

Exchange FE 在周邊網路中

(不建議對新行動訊息解決方案使用此選項)。

Exchange FE 位於周邊網路中,並且與網際網路和公司網路之間設有防火牆。

開啟其他防火牆連接埠以啟用 Direct Push,並加速 FE 與 BE 伺服器間的連線:

  • 在外部防火牆開啟輸入連接埠 443

  • Exchange FE 與 BE 之間的防火牆上開啟 UDP 連接埠 2883

請參閱 <在周邊網路中透過前端伺服器部署>。

ISA Server 2006 在周邊網路中作為進階防火牆

在此組態中,所有 Exchange 伺服器都是位於公司網路之內,並且 ISA Server 在開放給網際網路流量的周邊網路中扮演著進階防火牆的角色。這可為您的網路添加一層安全性。

繫結到 Exchange 伺服器的所有傳入網際網路流量 – 比方說,來自 Microsoft Office Outlook 2003 用戶端的 Microsoft Office OWA 和遠端程序呼叫 RPC over HTTP 通訊 – 都是由 ISA 伺服器處理。當 ISA 伺服器收到 Exchange 伺服器的要求時,ISA 伺服器會終止連線,然後以 Proxy 將要求處理至位於您內部網路上適當的 Exchange 伺服器。您網路上的 Exchange 伺服器接著會將要求的資料傳回 ISA 伺服器,它會將資訊透過網際網路傳給用戶端。

在安裝 ISA 伺服器期間,Microsoft 建議您啟用安全通訊端層 (SSL) 加密,然後將 443 指定為 SSL 連接埠。這可讓連接埠 443 開啟成「網頁接聽程式」以接收網際網路流量。Microsoft 也建議您為 Exchange ActiveSync 設定基本驗證,並要求所有用戶端在連線到 Exchange ActiveSync 網站目錄之前,必須先成功交涉 SSL 連結。如果您遵循這些建議,則出入連接埠 443 的網際網路流量將受到比較多的保護。

當在網頁發行模式內進行設定時,ISA Server 2006 將提供通訊協定篩選和檢疫,拒絕服務 (Dos) 和分散式拒絕服務 (DDoS) 保護,以及預先驗證。

下圖顯示透過 ISA Server 2004 針對行動訊息建議的 Exchange Server 2003 部署。

Cc952747.messaging_deploy(zh-tw,TechNet.10).gif

網站內容

ISA Server 2006 中的驗證

使用內建 Windows、LDAP、RADIUS,或 RSA SecurID 驗證可驗證使用者。前端和後端組態已分開,以提供更多彈性和更細微的控制。網站驗證也支援單一登入。規則可套用至任何命名空間內的使用者或使用者群組。

對於大多數企業安裝,建議採用 ISA Server 2006 含 LDAP 驗證。另外,ISA Server 2006 還提供透過網頁發行進行憑證型驗證。如需詳細資訊,請參閱 Microsoft Technet 網站上的 <ISA Server 2006 中的驗證>。

下表概述 ISA Server 2006 的部分功能:

功能

描述

支援 LDAP 驗證

LDAP 驗證允許 ISA Server 驗證 Active Directory,而不必是網域的成員。

請參閱 http://www.microsoft.com//taiwan/technet/isa/2006/secure_web_publishing.mspx

基本驗證的委派

發行的網站會要求 ISA Server 2006 防火牆在將連線轉寄給發行的網站之前先驗證使用者,藉此保護網站防止未授權的存取。此舉可防止未授權的使用者利用漏洞連上發行的 Web 伺服器。

對 Web Proxy 用戶端進行 SecurID 驗證

ISA Server 2006 可使用 SecurID 雙重要素驗證來驗證遠端連線。這可提供高層級的驗證安全性,因為使用者必須要有證明才能獲得已發行 Web 伺服器的存取權。

對 Web Proxy 用戶端驗證的 RADIUS 支援

透過 ISA Server 2006,您可以使用 RADIUS 查詢 Active Direcotory,來驗證 Active Directory 和其他驗證資料庫內的使用者。網頁發行規則也可使用 RADIUS 來驗證遠端存取連線。

工作階段管理

ISA Server 2006 改進了對 cookie 為主的工作階段的控制,以提供更完善的安全性。

憑證管理

ISA Server 2006 已經過改善,可簡化憑證管理並降低在發行網站時與使用憑證相關的整體擁有權成本。您可針對各個網頁接聽程式利用多個憑證,也可對每個陣列成員使用不同的憑證。

透過 ISA Server 2006 進行 LDAP 驗證

ISA Server 2006 支援輕量型目錄存取通訊協定 (LDAP) 驗證。LDAP 驗證類似於 Active Directory® 目錄服務驗證,但是 ISA Server 電腦不必是網域的成員。ISA Server 會透過 LDAP 通訊協定連線到已設定的 LDAP 伺服器,以便驗證使用者。每個 Windows 網域控制站依預設也都是 LDAP 伺服器,因此不需要另外變更設定。使用 LDAP 驗證有以下好處:

  • 執行 ISA Server 2006 Standard Edition 或 ISA Server 2006 Enterprise Edition 的伺服器自動成為工作群組模式中的陣列成員。當在周邊網路內安裝 ISA Server 之後,即無須再開啟網域成員所需的所有通訊埠。

  • 可驗證沒有信任關係之網域中的使用者。

本文中的 <步驟 5:安裝和設定 ISA Server 2006 或其他防火牆> 內有設定 ISA Server 以進行 LDAP 驗證的相關指示。如需設定 ISA Server 以進行 LDAP 驗證的詳細資訊,請參閱 Microsoft TechNet 網站中的 <安全發佈應用程式> (英文)。

在周邊網路中透過 ISA Server 部署

在此組態中,行動裝置利用行動業者的行動資料網路,使用網際網路與公司用來限制流量的外部防火牆進行通訊。外部防火牆連接埠將輸入 EAS 流量 (經由 SSL 連接埠 443) 轉寄到內部協力廠商裝置,以轉寄到 Exchange Server 2003 進行處理。

下圖說明典型無線 Exchange ActiveSync 部署的端對端範例。

Cc952747.activesync_deploy(zh-tw,TechNet.10).gif

Exchange ActiveSync 部署

為了確保 Microsoft Exchange ActiveSync 功能在此案例中能正常運作,Microsoft 建議在雙方的協力廠商防火牆產品上開啟輸入連接埠 443,以利 Windows Mobile 裝置能直接與 Exchange Server 通訊。無論是使用 Microsoft Direct Push 技術 (預設設定) 和/或「保持最新通知」(Always Up-to-Date Notifications) (選用),這都是讓 Exchange ActiveSync 適當運作的網路需求。

在單一伺服器上部署

如果您的行動訊息解決方案是使用單一 Exchange 伺服器,您可能還得建立一些特殊的組態,以避免在虛擬目錄上產生衝突。

SSL 需求及表單型驗證

在單一伺服器的組態下,Exchange Server ActiveSync 是使用 Kerberos 驗證經由連接埠 80 存取 Exchange ActiveSync 虛擬目錄。在下列任一情況下,Exchange Server 將無法存取 Exchange 虛擬目錄。

  • Exchange ActiveSync 虛擬目錄被設定成需要使用 SSL。

  • 設定了表單型驗證。

如需這些組態和因應措施的詳細資訊,請參閱下列微軟知識庫文件:

<當 Exchange Server 2003 要求使用 SSL 或表單型驗證時,發生 Exchange ActiveSync 和 Outlook Mobile Access 錯誤>(英文),網址是 http://go.microsoft.com/fwlink/?LinkId=62660

安裝 Exchange ActiveSync Mobile Administration Web Tool 所需的設定

當在單一伺服器的組態下進行部署時,Exchange ActiveSync Mobile Administration Web Tool 要求在 Kerberos 虛擬目錄上使用預設組態。在預設的情況下,SSL 並不會開啟,而虛擬目錄則有 Windows 整合式驗證。

在單一伺服器的組態下,我們建議您在 ExAdmin 虛擬目錄上進行下列動作:

  • 務必關閉 SSL

  • 使用 Windows 整合式驗證

Cc952747.note(zh-tw,TechNet.10).gif 附註:

應在 ExchangeAppPool 內執行 Exchange ActiveSync Mobile Administration Web Tool。

如需詳細資訊,請參閱下列微軟知識庫文件:http://support.microsoft.com/kb/916960/zh-tw

當您在 Exchange Server 2003 SP2 中嘗試使用 Microsoft Exchange Server ActiveSync Web Administration Tool 刪除合作關係或在行動裝置上執行遠端清除作業時出現錯誤訊息:「(401) 未經授權」。

RSA SecurID 相容性

RSA SecurID 提供權杖型驗證,此種驗證方式要求使用者輸入,且與 Direct Push 技術 (裝置會自動進行同步處理) 不相容。RSA 已更新 RSA Authentication Agent for Windows,以便讓 Direct Push 技術和排定的同步處理功能順暢運作。

ISA Server 2006 可與 SecurID 權杖驗證搭配運作。請參閱 ISA Server 2006 說明文件。

假如您有使用 RSA SecurID 產品,請確定從 RSA Security 網站取得最新的 RSA SecurID 軟體:http://go.microsoft.com/fwlink/?LinkId=63273 (英文)

表單型驗證

若您在 Exchange 伺服器上有針對 Exchange ActiveSync 於 Exchange 組織設定表單型驗證,但沒有後端,可能需要進行其他設定。如需這些設定的詳細資訊,請參閱下列微軟知識庫文件:

當 Exchange Server 2003 需要 SSL 或使用表單型驗證時,發生 Exchange ActiveSync 和 Outlook Mobile Access 錯誤>

Cc952747.note(zh-tw,TechNet.10).gif 附註:

Exchange Server 2003 SP2 表單型驗證並不允許您將 IIS 內的預設網域設定設為 \ 以外的設定。有這項限制是為了支援採用「使用者主要名稱」格式的使用者登入。如果變更 IIS 內的預設網域設定,Exchange 系統管理員會將伺服器上的預設網域設定重設為 "\"。

要改變這個行為,您可以在 IIS 內自訂 OWA 虛擬目錄中的 Logon.asp 頁面,以指定您的網域或包含一份網域名稱清單。不過,假如您在 IIS 內自訂 OWA 虛擬目錄中的 Logon.asp 頁面,則您所做的變更可能會在升級或重新安裝 Exchange Server 2003 SP2 後遭到覆寫。

在周邊網路中透過 Exchange 前端伺服器部署

如果您的部署組態在 DMZ 或周邊網路內有前端 Exchange 伺服器,您可能必須變更防火牆設定,以運用 Direct Push 技術。

Cc952747.note(zh-tw,TechNet.10).gif 附註:

新行動訊息解決方案不建議使用此選項。

透過 Direct Push 技術,每當後端伺服器收到要傳輸給行動裝置的電子郵件或資料時,它都會傳送 UDP 通知給前端伺服器。防火牆上必須開啟 UDP 連接埠 2883 以允許後端伺服器至前端伺服器的單向流量,才能進行這項傳輸作業。

如需部署 Direct Push 技術的詳細資訊,及它對防火牆設定的影響,請參閱 Exchange Server 部落格文章 <Direct Push 只需一個活動訊號>( 英文),網址是 http://go.microsoft.com/fwlink/?LinkId=67080

如需在 DMZ 設定前端伺服器的詳細資訊,請參閱 <Exchange Server 2003 和 Exchange 2000 Server 前端和後端伺服器拓僕> (英文),網址是 http://go.microsoft.com/fwlink/?LinkId=62643

VPN 設定

Windows Mobile 5.0 裝置提供透過虛擬私人網路 (VPN) 存取以 PPTP 或 L2TP/IPSec VPN 通訊協定為基礎的公司網路的原生支援。

Microsoft 建議使用 L2TP/IPSec 連線,因為這些連線要求透過憑證進行裝置層級驗證,以及透過 PPP 驗證通訊協定進行使用者層級驗證兩種方式。L2TP/IPSec 仰賴 Windows Mobile 裝置現有的基礎結構以連線到內部公司資源,例如檔案共用、Web 伺服器,以及行動企業營運應用程式等。如需使用 Windows Server 2003 部署 VPN 的範例,請參閱 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/vpnexamp.mspx (英文)

如需保障 VPN 存取安全的詳細資訊,請參閱 <ISA Server 2004 如何針對 Outlook Web Access 和 RPC over HTTP 提供 SSL VPN 功能> (英文),網址是 http://go.microsoft.com/fwlink/?LinkId=67445

如需 Windows Mobile 5.0 裝置登入程序的詳細資訊,請參閱<步驟 8,管理和設定行動裝置>中的「使用 VPN 連線存取公司網路」主題。

顯示: